天创培训:您身边的信息安全培训专家!
行业动态
网络攻防仿真面临的机遇与挑战

仿真和在仿真环境中受过训练的应急响应人员是应对未来网络攻击的两个最佳工具。

作者:国家互联网应急中心 张冰

国家网络安全部门(或通过其代理机构)正越来越多地对其他国家的资源发起网络攻击。能够成功进行网络防御案例仍比较罕见的,但网络攻击造成的损失是巨大的,并被媒体等广泛宣传造成社会和经济危害更加巨大。目前,没有理由相信网络攻击者的动机或目标将会发生较大改变。事实上,更严重的网络攻击可能尚未出现。时至今日,网络攻击并未对关键基础设施或个人福祉造成严重破坏,但这不等于未来不会。仿真和在仿真环境中受过训练的应急响应人员是应对未来网络攻击的两个最佳工具。

一、挑战

应用仿真提升针对网络攻击的战备能力需要战胜传统的仿真挑战,包括管理开发成本、仿真精度、用户预期管理以及根据真实世界变化更新、扩展和完善仿真面临的难题。这些挑战将持续存在,因为仿真界尚未开发出能够应对当前各种仿真应用挑战的成功方法。我们认为,即使可以开发出能广泛应用的挑战解决方案,但网络冲突环境是如此独特,以至于仅仅验证用于网络领域的解决方案就需要花费大量时间和资金。

但是,网络攻防仿真面临的挑战远远超出了传统仿真。为有效发挥作用,网络仿真需要利用人工智能来展现对手能力,并确保以网络领域(机器)的速度构建和执行新颖的、难以预料的攻击手法。必须确定人工智能和智能代理在网络领域和网络仿真中可以实现什么,更重要的是,不能实现什么。反过来,也必须确定如何利用仿真改善人工智能和智能代理在网络领域中应用的效能。我们认为,实现人工智能与网络领域间的协同增效是可能的,但需要多年的共同努力。

二、机遇

除了提高基础仿真能力外,还有多项新兴技术将影响仿真并使其受益。这些技术包括云计算、分布式账本(区块链)技术、量子计算、软件定义网络(SDN)、网络防御智能代理和物联网(IoT)等。其中最复杂且当前最广泛使用的技术之一就是云计算。

(一)云计算

云计算基础架构相对复杂,其涉及的不仅仅是虚拟机及其管理。云计算需要跨计算和数据服务器进行负载平衡,这通常需要虚拟机/容器迁移以实现负载动态平衡并保持云服务器仓库内的容器尽责性(分配的任务、服务器位置、容器标识)、容器映像完整性、独立数据隐私、计算结果安全性、通信安全性、容器间路由完整性和准确性以及网络完整性。其他挑战还包括,当对执行同一任务的多个容器进行访问控制时,云平台(SDN)需要支持数据非匿名化、数据存储、数据路由能力并确保数据完整性。数据完整性问题可通过分布式账本(区块链)技术来解决,仿真也可以加速分布式账本技术的推广。

(二)分布式账本技术

分布式账本技术利用了新交易区块的初始哈希与一组交易的改变和重新哈希之间计算成本的巨大差异。当一个以上的系统维护的部分交易链或整个交易链时,计算成本将变得难以承受。实际而言,分布式账本技术提供了不可变的交易记录。通过在分布式账本中记录云平台管理操作,可以获得并维护不可变的云平台活动日志。可以在云平台的软件定义网络和服务存储网络中使用分布式账本技术,以不可变方式记录网络流量、防火墙设置和设置变更、虚拟专用网(VPN)隧道设立和拆除、数据访问和数据存储情况。这将使云平台活动日志更改(攻击者用来隐藏其活动的主要工具之一)成为不可能。仿真界需要认真考虑应用分布式账本技术的方式及其所记录的日志内容,从而确保在不将云平台资源过多分配给分布式账本计算的情况下,最大限度地提高安全性。我们怀疑,但不确切地知道,分布式账本与云平台相互配合的最优效能值会随云平台规模、范围和复杂性以及云平台提供商和用户愿意接受风险的程度而变化。

(三)量子计算

量子计算有望全面改变计算科学和计算工程。大数(大于260个字节或1024位数字)分解、大数算术和大数计算将变得司空见惯,并可被所有计算机用户所使用。量子计算可被广泛的用户,从民族国家到国际犯罪组织再到个人,处理从超过1026字节到仅太字节(terabyte)/吉比特(gigabyte)量级的计算问题。量子计算与仿真相关的四个主要用途是:(a)量子分解;(b)量子密钥分发;(c)抗量子加密;(d)大数算术运算。尽管量子计算仍面临工程问题,但后者已成为大量国际合作努力突破的重点,预计可以较快地得以解决。量子计算提高包括仿真和云计算在内的所有计算领域的安全性和隐私性。仿真面临的挑战是开发面向大量量子计算用例的仿真,这将有助于确定量子计算能力所带来的真实益处,并为有关量子计算安全性与成本之间的权衡提供有用的见解。

(四)软件定义网络和软件定义广域网

计算环境的另一个变化是向软件定义网络(SDN)和软件定义广域网(SD-WAN)的迁移,也为仿真带来了前所未有的机会。随着SDN和SD-WAN的出现,传统的网络硬件将消失,取而代之的是将流量控制和流量路由整合到一台通用计算机中的硬件平台。操作和路由将由对网络设备的远程指令所确定,从而允许对网络路由行为中的机器速度进行更改。网络控制将由代理而非人员来评估,而代理也将负责发现对网络的破坏行为模式。对面向智能网络防御代理开发和测试的增强型仿真的需求正在增加,并将进一步增加。分布式账本仿真也可用于SDN,以建立每个网络节点不可变的指令和事件日志。只有使用智能网络防御代理,才有可能有效利用所收集的网络防御数据。

(五)人工智能

受网络攻击自动化程度日益提高的推动,智能网络防御代理将在作战战术和战略层面上变得更加自动化。由人工操作的安全运营中心时代即将结束,网络攻击响应手册也行将终结使命。网络作战战术防御需要智能代理不仅可以机器速度检测和抵制攻击,而且还能向人工操控的网络防御战略指挥中心报告其活动。网络作战战略防御需要决策支持工具来增强指挥中心智能代理的分析能力。网络作战战略防御同时需要智能代理能够根据新发现攻击模式动态地生成替代性行动方案。此外,战略指挥中心将需要面向人和面向智能代理的培训环境,以便为网络空间冲突做好准备。培训环境必须提供针对人员和机器的训练,以培训如何设计有效的进攻性网络攻击,以及在进行网络防御时如何识别遭到的网络攻击类型。此外,训练必须使人员和机器能同时并行地进行网络攻击和防御行动。即将来临的网络冲突环境与任何其他冲突环境相比,将更加复杂、节奏越来越快并充满困惑。

(六)物联网

所有上述技术融合发展将构成物联网带来的仿真挑战。物联网由无数联网的能交换和收集数据的计算设备组成。物联网已成为发起网络攻击和进行数据收集的理想平台,这使物联网安全变得至关重要。因此,除单个设备的安全性之外,仿真必须准确刻画大规模物联网部署及其涉及的所有技术可能带来的网络攻击和网络防御场景。SDN将负责设备间的链接,分布式账本技术提供控制配置和数据流量的永久记录。量子计算可以确保物联网设备数据传输的安全。云平台可以作为数据分析中心。为了使所有这些平台系统安全地运行,需要能够在战术和战略层面自主解决网络安全问题的智能代理。缺乏智能代理将使整个计算环境遭受破坏。目前迫切需要可对在大规模物联网上运行的智能代理进行训练的仿真环境。

三、展望

面向网络安全最困难、最具挑战性和最重要的仿真应用即将出现。近几年,网络空间安全形势日趋严峻,被攻击目标的范围日趋广泛,从个人到国家关键信息基础设施无一幸免。层出不穷的网络安全事件都凸显了提升网络安全应急装备体系能力的重要性。当前缺少真实的网络安全综合演练环境,使得无法在平时进行充分的网络安全应急响应演练,使得网络安全防御战术、战略能力无法得真实的检验。需要复杂、高精度的仿真来应对新兴技术的网络安全挑战。所需的仿真环境必须支撑有效应对物联网、智能代理、SDN、分布式账本、量子计算和云计算等各种技术,以及这些新技术和现有技术结合产生的网络安全挑战。为了战胜即将到来的网络攻击,设计和开发高级仿真环境已成为当务之急。